Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Opzioni di configurazione aggiuntive per AWS Cloud9 (team ed enterprise)
In questo argomento si presuppone che tu abbia già completato le fasi di configurazione descritte in Configurazione di un team o Configurazione di un'azienda.
In Configurazione di un team o Configurazione di un'azienda hai creato i gruppi e hai aggiunto direttamente le autorizzazioni di accesso ad AWS Cloud9, per garantire che gli utenti dei gruppi possano accedere ad AWS Cloud9. In questo argomento, aggiungi altre autorizzazioni di accesso per limitare i tipi di ambiente che gli utenti dei gruppi possono creare. In questo modo puoi controllare i costi inerenti ad AWS Cloud9 nelle organizzazioni e negli account AWS.
Per aggiungere queste autorizzazioni di accesso, devi creare un set di policy che definiscono le autorizzazioni di accesso ad AWS da applicare. Queste sono chiamate policy gestite dal cliente. Quindi colleghi queste policy gestite dal cliente ai gruppi ai quali appartengono gli utenti. In alcuni scenari, devi anche scollegare le policy esistenti gestite da AWS che sono già collegate ai gruppi. Per questa operazione, segui le procedure riportate nel presente argomento.
Nota
Le seguenti procedure descrivono come collegare e scollegare le policy solo per gli utenti di AWS Cloud9. Queste procedure presuppongono che disponi già di un gruppo di utenti AWS Cloud9 e un gruppo di amministratori AWS Cloud9. Presuppongono inoltre che il numero di utenti nel gruppo di amministratori AWS Cloud9 sia limitato. Queste best practice di sicurezza di AWS ti aiutano a gestire meglio il controllo, il tracciamento e la risoluzione dei problemi relativi all'accesso alle risorse AWS.
Fase 1: creare una policy gestita dal cliente
Puoi creare una policy gestita dal cliente utilizzando la AWS Management Console o l'AWS Command Line Interface (AWS CLI).
Nota
Questa fase tratta la creazione di una policy gestita dal cliente solo per gruppi IAM. Per creare un set di autorizzazioni personalizzate per gruppi in AWS IAM Identity Center, ignora questa fase e segui le istruzioni in Create Permission Set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center. In questo argomento, segui le istruzioni per creare un set di autorizzazioni personalizzato. Per le policy di autorizzazioni personalizzate correlate, consulta Esempi di policy gestite dal cliente per i team che utilizzano AWS Cloud9 più avanti in questo argomento.
Creazione di una policy gestita dal cliente utilizzando la console
-
Accedi alla AWS Management Console se non l'hai ancora fatto.
Consigliamo di effettuare l'accesso utilizzando le credenziali dell'utente amministratore nell'Account AWS. Se non si è in grado di eseguire questa operazione, contattare l'amministratore dell'Account AWS.
-
Aprire la console IAM. Per eseguire questa operazione, scegliere Services (Servizi) nella barra di navigazione della console. Quindi scegliere IAM.
-
Nel riquadro di navigazione dei servizi, seleziona Policies (Policy).
-
Scegli Create Policy (Crea policy).
-
Nella scheda JSON, incolla uno degli esempi di policy gestite dal cliente consigliati.
Nota
Puoi anche creare policy gestite dal cliente personalizzate. Per ulteriori informazioni, consulta Riferimento alla policy JSON IAM nella Guida per l'utente di IAM e nella documentazione
dei Servizio AWS. -
Scegli Review policy (Esamina policy).
-
Nella pagina Review policy (Esamina policy), digita un Name (Nome) e una Description (Descrizione) facoltativa per la policy, quindi seleziona Create policy (Crea policy).
Ripeti questo passaggio per ogni altra policy gestita dal cliente che desideri creare. Passa alla sezione Aggiunta di policy gestite dal cliente a un gruppo utilizzando la console.
Creazione di una policy gestita dal cliente utilizzando AWS CLI
-
Sul computer in cui esegui AWS CLI crea un file che descriva la policy (ad esempio
policy.json).Se crei il file con un nome diverso, sostituiscilo in tutta la procedura.
-
Incolla uno degli esempi di policy gestite dal cliente nel file
policy.json.Nota
Puoi anche creare policy gestite dal cliente personalizzate. Per ulteriori informazioni, consulta Riferimento alla policy JSON di IAM nella Guida per l'utente di IAM e nella documentazione
dei servizi AWS. -
Dal terminale o dal prompt dei comandi, passa alla directory contenente il file
policy.json. -
Esegui il comando
create-policydi IAM , specificando un nome per la policy e il filepolicy.json.aws iam create-policy --policy-document file://policy.json --policy-name MyPolicyNel comando precedente, sostituisci
MyPolicycon un nome per la policy.
Passa alla sezione Aggiunta di policy gestite dal cliente a un gruppo utilizzando AWS CLI.
Fase 2: aggiungere policy gestite dal cliente a un gruppo
Puoi aggiungere le policy gestite dal cliente utilizzando la AWS Management Console o l'Interfaccia della linea di comando AWS (AWS CLI).
Nota
Questa fase tratta l'aggiunta di policy gestite dal cliente ai soli gruppi IAM. Per aggiungere un set di autorizzazioni personalizzate a gruppi in AWS IAM Identity Center, ignora questa fase e segui le istruzioni in Assegnazione dell'accesso agli utenti nella Guida per l'utente di AWS IAM Identity Center.
Aggiunta di policy gestite dal cliente a un gruppo utilizzando la console
-
Con la console IAM aperta nella procedura precedente, nel pannello di navigazione del servizio, scegli Groups (Gruppi).
-
Scegli il nome del gruppo.
-
Nella scheda Permissions (Autorizzazioni), per Managed Policies (Policy gestite), scegliere Attach Policy (Collega policy).
-
Nell'elenco dei nomi di policy, scegli la casella accanto a ogni policy gestita dal cliente che desideri collegare al gruppo. Se nell'elenco non individui un nome di policy specifico, digita il nome nella casella Filter (Filtro) per visualizzarlo.
-
Scegli Attach Policy (Collega policy).
Aggiunta di policy gestite dal cliente a un gruppo utilizzando AWS CLI
Nota
Se si utilizzi le credenziali temporanee gestite da AWS, non puoi usare una sessione del terminale nell'IDE AWS Cloud9 per eseguire alcuni o tutti i comandi descritti in questa sezione. Per le best practice di sicurezza AWS, le credenziali temporanee gestite da AWS non consentono l'esecuzione di alcuni comandi. Tuttavia, è possibile eseguire i comandi da un'installazione separata dell'AWS Command Line Interface (AWS CLI).
Esegui il comando attach-group-policy di IAM, specificando il nome del gruppo e l'Amazon Resource Name (ARN) della policy.
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
Nel comando precedente, sostituisci MyGroup con il nome del gruppo. Sostituisci 123456789012 con l'ID dell'account AWS. Sostituisci MyPolicy con il nome della policy gestita dal cliente.
Esempi di policy gestite dal cliente per i team che utilizzano AWS Cloud9
Di seguito sono elencati alcuni esempi di policy che puoi utilizzare per limitare gli ambienti che gli utenti di un gruppo possono creare in un Account AWS.
Impedire agli utenti di un gruppo di creare ambienti
Se collegata a un gruppo di utenti AWS Cloud9, la seguente policy gestita dal cliente impedisce agli utenti di creare ambienti in un Account AWS. Questa policy è utile se desideri che sia un utente amministratore IAM nell'Account AWS a gestire la creazione degli ambienti. In caso contrario, sono gli utenti di un gruppo AWS Cloud9 a eseguire questa operazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
La policy gestita dal cliente sostituisce esplicitamente "Effect":
"Allow" per "Action": "cloud9:CreateEnvironmentEC2" e "cloud9:CreateEnvironmentSSH" su "Resource": "*" nella policy gestita AWSCloud9User già collegata al gruppo di utenti AWS Cloud9.
Impedire agli utenti di un gruppo di creare ambienti EC2
Se collegata a un gruppo di utenti AWS Cloud9, la seguente policy gestita dal cliente impedisce agli utenti di creare ambienti EC2 in un Account AWS. Questa policy è utile se desideri che sia un utente amministratore nell'Account AWS a gestire la creazione degli ambienti EC2. In caso contrario, sono gli utenti di un gruppo AWS Cloud9 a eseguire questa operazione. In questo caso, si presuppone che tu non abbia collegato alcuna policy che impedisca agli utenti del gruppo di creare ambienti SSH. In caso contrario, gli utenti non sono in grado di creare alcun ambiente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
La precedente policy gestita dal cliente sostituisce esplicitamente "Effect":
"Allow" per "Action": "cloud9:CreateEnvironmentEC2" su "Resource": "*" nella policy gestita dal cliente AWSCloud9User già collegata al gruppo di utenti AWS Cloud9.
Permettere agli utenti di un gruppo di creare ambienti EC2 solo con tipi di istanza Amazon EC2 specifici
Se collegata a un gruppo di utenti AWS Cloud9, la seguente policy gestita dal cliente permette agli utenti di creare ambienti EC2 che utilizzano solo i tipi di istanza che iniziano con t2 in un Account AWS. Questa policy presuppone che tu non abbia collegato alcuna policy che impedisca agli utenti del gruppo di creare ambienti EC2. In caso contrario, gli utenti non sono in grado di creare alcun ambiente EC2.
Puoi sostituire "t2.*" nella seguente policy con una classe di istanza diversa (ad esempio, "m4.*"). In alternativa, puoi limitarla a più classi di istanza o tipi di istanza (ad esempio, [ "t2.*", "m4.*" ] o [
"t2.micro", "m4.large" ]).
Per un gruppo di utenti AWS Cloud9, scollega dal gruppo la policy gestita AWSCloud9User. Quindi, al suo posto, aggiungi la seguente policy gestita dal cliente. Se non scolleghi la policy gestita AWSCloud9User, la seguente policy gestita dal cliente non ha effetto.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La policy gestita dal cliente precedente permette inoltre agli utenti di creare ambienti SSH. Per impedire a tali utenti di creare anche ambienti SSH, rimuovi "cloud9:CreateEnvironmentSSH", dalla policy gestita dal cliente precedente.
Autorizzazione per gli utenti di un gruppo a creare solo un singolo ambiente EC2 in ogni Regione AWS
Se collegata a un gruppo di utenti AWS Cloud9, la seguente policy gestita dal cliente permette a ciascuno degli utenti di creare al massimo un singolo ambiente EC2 in ogni Regione AWS in cui AWS Cloud9 è disponibile. Ciò è possibile limitando il nome dell'ambiente a un nome specifico nella Regione AWS. In questo esempio, l'ambiente è limitato a my-demo-environment.
Nota
AWS Cloud9 non consente di limitare la creazione di ambienti in specifiche Regioni AWS. Inoltre, AWS Cloud9 non consente di limitare il numero complessivo ambienti che è possibile creare. L'unica eccezione sono i limiti del servizio pubblicati.
Per un gruppo di utenti AWS Cloud9, scollega la policy gestita da AWSCloud9User dal gruppo, quindi aggiungi al suo posto la seguente policy gestita dal cliente. Se non scolleghi la policy gestita da AWSCloud9User, la seguente policy gestita dal cliente non ha effetto.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La policy gestita dal cliente precedente permette agli utenti di creare ambienti SSH. Per impedire a tali utenti di creare anche ambienti SSH, rimuovi "cloud9:CreateEnvironmentSSH", dalla policy gestita dal cliente precedente.
Per ulteriori esempi, consulta Esempi di policy gestite dal cliente.
Fasi successive
| Attività | Consulta questo argomento |
|---|---|
|
Crea un ambiente di sviluppo AWS Cloud9, quindi utilizza l'IDE AWS Cloud9 per utilizzare il codice nel nuovo ambiente. |
|
|
Informazioni sull'utilizzo della demo dell'IDE AWS Cloud9. |
|
|
Invita altri utenti a utilizzare il tuo nuovo ambiente, in tempo reale e con il supporto tramite chat. |
